Dolandırıcılar, Darcula'nın hizmet olarak kimlik avı platformundan, iMessages'tan ve Google Mesajlar'dan büyük bir etki yaratmak için yararlanıyor.
Platform, 100'den fazla farklı ülkede bulunan çeşitli markaların kimliğine bürünmelerine olanak tanıyor: posta hizmetleri, kamu ve özel kuruluşlar, paket dağıtım hizmetleri, finansal kurumlar, devlet kurumları, havayolları ve telekomünikasyon şirketleri.
Bu platformda alışılmadık olan ne?
“Darcula kedi temalı; Telegram kanal resminde bir kedi var, yönetim paneli daha önce bir kedi resmiyle etiketlenmişti ve magic-cat gibi altyapı alan adları vardı[.]net,” diyor Netcraft araştırmacıları.
Ancak bu ilginç seçimler bir yana, platform ciddi bir tehdit oluşturuyor: teknoloji konusunda pek bilgili olmayan suçluların, bir kimlik avı kampanyası başlatmak için gereken adımların çoğunu otomatikleştirmesine olanak tanıyor ve böylece siber suç dünyasına giriş engelini azaltıyor.
Platformun diğer ilginç yönleri şunlardır:
- JavaScript, React, Docker ve Harbour kullanımı
- Kimlik avı kitini kaldırıp yeniden yüklemeye gerek kalmadan, kimlik avı sitelerini yeni özelliklerle ve tespit edilmeye karşı önlemlerle güncelleme yeteneği
“Darcula platformu geçen yıl çok sayıda yüksek profilli kimlik avı saldırısında kullanıldı; bunlara Birleşik Krallık'taki hem Apple hem de Android cihazlardan alınan mesajların yanı sıra ABD Posta Servisi'ni (USPS) taklit eden paket dolandırıcılıkları da dahil. [Reddit’s subreddit about phishing]” diye belirtti araştırmacılar.
Kullanıcıları kimlik avı sitelerine yönlendirmek için iMessages ve Google Mesajları (RCS standardını temel alan) kullanma seçimi akıllıcadır:
- Göndermekte özgürler
- Tüketiciler tarafından normal kısa mesajlardan daha fazla güveniyorlar
- Uçtan uca şifrelenmiş olup, ağ operatörlerinin içeriklerini analiz etmesini engeller, böylece mesajların, istenmeyen ve sahte SMS mesajlarını engellemek için uygulanan filtrelerden kaçmasına olanak tanır.
Araştırmacılar, iMessages'ın toplu olarak “toplu gönderen” komut dosyaları aracılığıyla gönderilebileceğini de belirtti; araştırmacılar, Google Mesajlar gibi Android cihaz grupları aracılığıyla da gönderilebileceğini belirtti.
Platform, Çince konuşan suçlulara hizmet etmeyi amaçlıyor.
“Çince konuşmayan kullanıcılar, tarayıcılarında bir çeviri aracı kullanacaklarsa bunu kullanabilirler, ancak Telegram kanalındaki ve gruptaki iletişim Çince kullanıyor; İngilizce bir versiyonun varlığından haberdar değiliz ama söyleyemeyiz. Netcraft Ürün Stratejisi Başkan Yardımcısı Robert Duncan, Help Net Security'ye, “Başka gizli seçeneğin bulunmadığından %100 eminim” dedi.
Tüketiciler için tavsiyeler
Darcula aracılığıyla oluşturulan kimlik avı sayfalarından birinin yönetim paneline erişmeyi başaran otomasyon mühendisi Oshri Kalfon tarafından yapılan önceki araştırma, birçok hedefin bilgilerini girerken kandırıldığını ve kimlik avı yapanların aralarından seçim yapabileceği çok sayıda kimlik avı sayfası şablonu olduğunu ortaya çıkardı.
Kimlik avcıları Darcula aracılığıyla marka kimliğine bürünebilir (Kaynak: Oshri Kalfon)
Kimlik avı sayfalarını barındıran alan adları genellikle tehlikeye atılmaz, ancak yanılsamayı tamamlamak için ilgili marka adına benzeyecek şekilde bilinçli olarak kaydedilir ve adlandırılır.
SMS tabanlı kimlik avından nasıl kaçınılacağı konusunda tüketicilere genellikle verilen tavsiyeler doğrudur: İstenmeyen mesajlar aracılığıyla veya bilinmeyen gönderenler tarafından gönderilen bağlantılara mı tıklayacağınızı değerlendirirken dikkatli olun.
“Yanlış dilbilgisi, yazım hataları, 'gerçek olamayacak kadar iyi' veya acil eylem gerektiren tekliflere bakın. Netcraft araştırmacıları, “Bir kuruluştan mesaj bekliyorsanız, resmi web sitesine gidin ve bağlantıları takip etmekten kaçının” diye ekledi.